[Info] FRITZ!Box 7490 Labor-Firmware Version 6.10-27982 vom 13.05.2014

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
SnoopyDog schrieb:
Probleme in dieser Version, die mir aufgefallen sind:
Ich kann keine neue VPN-Verbindung durch Import einer .cfg Datei mehr erzeugen (Option "Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren")...
Zum Vergrößern anklicken....

VPNs über Import eine .cfg funktioniert bei mir problemlos, sowohl LAN-LAN als auch Benutzer

SnoopyDog schrieb:
Probleme in dieser Version, die mir aufgefallen sind:
WLAN "vergißt" immer die bereits angemeldeten Geräte, wenn diese einige Zeit lang abgeschaltet waren. Sie stehen zwar noch in der Liste der bekannten Geräte unter "Heimnetz" mit gültiger MAC, ...
Zum Vergrößern anklicken....

ich kann ein autorisiertes WLAN Gerät, welches default erfolgreich auf dem 2,4er Band connected nicht dazu bewegen auf dem 5er Band zu connecten. Die Fritzbox meldet immer Zugangsprüfung fehlgeschlagen
 
Lieber Peter,

ich möchte mich ganz herzlich bei dir (und auch bei AVM) bedanken! Endlich gehören die Zertifikatfehler bei der FRITZ!Box der Vergangenheit an!!!

Benötigt wurde allerdings neben dem Zertifikat und dem private Key auch das Zwischenzertifikat um die Kette zu vervollständigen.


Kurz zusammengefasst:

Zertifikat einer externen Zertifizierungstelle für die eigene Domain (nicht möglich bei DynDNS und Co.) (dadurch wird auch das importieren der Zertifikate in vertrauenswürdige Speicher eingespart)

==> bestehend aus certificate.crt und intermediate1.crt sowie den exportierten private Key (z.B. aus der IIS)

Wie ihr an eure Zertifikate kommt möchte ich hier nicht erklären. Das wäre zu OT und benötigt auch etwas Erfahrung im Bereich der SSL Zertifikate.

Umsetzung:

Ich habe OpenSSL auf meinem WindowsServer 2012 R2 installiert um den private key aus der exportierten PFX Datei auszulesen

Wie Peter schon schrieb
openssl pkcs12 -in <deine-pfx-datei> -out <neue-datei-mit-dem-key> -nocerts -nodes
Zum Vergrößern anklicken....

Anschließend mit dem Editor eine neue Textdatei (cert.pem) erzeugt.

In diese

-----BEGIN CERTIFICATE-----"certificate.crt"-----END CERTIFICATE-----"Zeilenumbruch"
-----BEGIN CERTIFICATE-----"intermediate1.crt"-----END CERTIFICATE-----"Zeilenumbruch"
-----BEGIN PRIVATE KEY-----"ausgelesener_private_key"-----END PRIVATE KEY-----
Zum Vergrößern anklicken....

kopiert.

Das Zertifikat kann nun ohne Probleme mit dem Internet Explorer 11 --> ANDERE BROWSER HABEN BEI MIR NICHT FUNKTIONIERT in die Fritte importiert werden unter "Internet --> Freigaben --> Fritzbox-Dienste" Ein Kennwort ist nicht erforderlich.

WICHTIG: Nach dem der Import Vorgang erfolgreich war, habe ich die Dateien (insbesondere den unverschlüsselten private key) auf dem Server gelöscht und für mich die cert.pem auf eine CD gebrannt. Für den Fall, dass ich bei Recover & Co neu importieren muss. Eine Externe Sicherung seiner Zertifikate sollte man sowieso haben

Abschließend noch ein paar Screenshots :D

Gruß
Smithy
 

Anhänge

  • Android_Chrome_I.jpg
    Android_Chrome_I.jpg
    24 KB · Aufrufe: 100
  • chrome_ssl_fritz.png
    chrome_ssl_fritz.png
    49.2 KB · Aufrufe: 103
  • Importvorgang.png
    Importvorgang.png
    24.8 KB · Aufrufe: 102
  • Andorid_Chrome_II.jpg
    Andorid_Chrome_II.jpg
    50 KB · Aufrufe: 105
Smithy schrieb:
ich möchte mich ganz herzlich bei dir (und auch bei AVM) bedanken!
Zum Vergrößern anklicken....
Gern geschehen ... danke für die positive Rückmeldung.

Trotzdem muß ich noch einmal nachhaken ...

Zertifikat einer externen Zertifizierungstelle für die eigene Domain (nicht möglich bei DynDNS und Co.)
Zum Vergrößern anklicken....
Aussage von AVM ? Wenn ja, was versteht man dort unter "extern" ?

Ich konnte ohne Probleme (in Version 06.10-27982) ein Zertifikat, das von meiner eigenen CA unterschrieben wurde, importieren. Das Zertifikat ist auf den DynDNS-, den My!Fritz- und diverse interne Namen/Adressen (das spart beim HTTPS-Zugriff aus dem LAN das Lamentieren über ungültigen CN im Zertifikat) ausgestellt. Daß man solch ein Zertifikat nicht von einer "offiziellen" CA erhält, versteht sich aber von selbst. Die Firmware prüft aber - zumindest im Moment - offenbar keine "chain of trust" zu einer "offiziellen" CA, bevor sie das Zertifikat akzeptiert. Daher ist das zusätzliche Zertifikat einer Intermediate-CA auch nur notwendig, wenn diese IM-CA nicht bereits selbst im *Client* als vertrauenswürdig bekannt ist und man die daraus resultierende Meldung vermeiden will.

(dadurch wird auch das importieren der Zertifikate in vertrauenswürdige Speicher eingespart)
Zum Vergrößern anklicken....
Da verstehe ich den Inhalt der Aussage (und die Quelle) nicht.
Fakt ist, daß die Box den privaten Schlüssel mit dem - bereits erwähnten - boxspezifischen Kennwort verschlüsselt und dann in /var/flash/websrv_ssl_key.pem speichert.

So kann man (mit ein paar Kniffen) den Schlüssel auslesen und auch decodieren, wenn man nur Zugriff auf die Kommandozeile einer Fritz!Box erhält und das ist - zumindest bei allen meinen Geräten - einfacher als viele glauben wollen. Aber wenigstens wird in Zukunft hoffentlich ein MITM-Angriff auf die Apps (wo man nur allzu leicht an Username und Password herankommen kann) schwerer, wenn AVM das mit den Zertifikaten konsequent bis zu den Apps durchzieht.

Da es im Moment aber noch zu leicht ist, in eine - auch fremde - Fritz!Box einzudringen, finde ich es persönlich eher eine schlechte Idee, wenn Du den privaten Schlüssel eines Zertifikats, das Du ja - wie Du geschrieben hast - auch für diverse andere Zwecke verwendest, der Fritz!Box "anvertraust". Solange es sich um ein eigens für die Box ausgestelltes Zertifikat handelt, ist das sicherlich zu verschmerzen, wenn man es als kompromittiert ansehen und entsorgen muß (wie so viele andere auch im Rahmen des Heartbleed-Bugs, selbst wenn der Fritz!OS nicht direkt betraf) bzw. wenn man diesem Zertifikat dann ein etwas geringeres Vertrauen entgegenbringt.

Das Zertifikat kann nun ohne Probleme mit dem Internet Explorer 11 --> ANDERE BROWSER HABEN BEI MIR NICHT FUNKTIONIERT in die Fritte importiert werden
Zum Vergrößern anklicken....
Man lernt doch nie aus. Ich lerne daraus zwei Dinge:

1. Der IE11 überträgt bei "multipart/form-data"-POSTs offenbar Input-Elemente im Formular deutlich selektiver als es z.B. FF29 tut.

2. Der Entwickler bei AVM, der die Zertifikat-Thematik bearbeitet, testet mit IE11 (und damit offenbar auch mit einem Windows, für das es den IE11 gibt).

Wobei mich schon erheblich interessieren würde, wie Du mit AVM Kontakt aufgenommen hast.

Ich habe dort (mit einer einzigen Ausnahme) in den letzten (sagen wir mal etwa zwei) Jahren eigentlich immer nur auf Granit gebissen, erst recht mit Feedback/Nachfragen zu einer Labor-Version. Und ich benehme mich auch nicht immer wie die Axt im Walde ...

Eine Externe Sicherung seiner Zertifikate sollte man sowieso haben
Zum Vergrößern anklicken....
Auch wenn ich das unterschreiben kann, gehört für mich zu einer sinnvollen Umsetzung des Themas eine Sicherung/Wiederherstellung auch dieser Dateien durch AVM.
 
Zuletzt bearbeitet:
PeterPawn schrieb:
Aussage von AVM ? Wenn ja, was versteht man dort unter "extern" ?
Zum Vergrößern anklicken....

Kein Aussage von AVM. Mir ist es nicht gelungen Kontakt mit AVM aufzunehmen. Der Dank vielmehr galt AVM im allgemeinen, diese Möglichkeit nun endlich einzuführen. AVM ließt hier ja wohl doch ab und an mit (zumindestens ist dies meine Ansicht)

PeterPawn schrieb:
Ich konnte ohne Probleme (in Version 06.10-27982) ein Zertifikat, das von meiner eigenen CA unterschrieben wurde, importieren. Das Zertifikat ist auf den DynDNS-, den My!Fritz- und diverse interne Namen/Adressen (das spart beim HTTPS-Zugriff aus dem LAN das Lamentieren über ungültigen CN im Zertifikat) ausgestellt. Daß man solch ein Zertifikat nicht von einer "offiziellen" CA erhält, versteht sich aber von selbst. Die Firmware prüft aber - zumindest im Moment - offenbar keine "chain of trust" zu einer "offiziellen" CA, bevor sie das Zertifikat akzeptiert. Daher ist das zusätzliche Zertifikat einer Intermediate-CA auch nur notwendig, wenn diese IM-CA nicht bereits selbst im *Client* als vertrauenswürdig bekannt ist und man die daraus resultierende Meldung vermeiden will.
Zum Vergrößern anklicken....

Bei mir ging es ja in 1. Linie darum, Zugriff auf die Box von außen zu erhalten von allen Endgeräten, ohne ein eigenes Root-CA in die vertrauenswürdigen Stellen importieren zu müssen. Hierbei ist es dann natürlich nicht möglich, sich das Zertifikat auf fritz.box, oder dyndns & co. ausstellen zu lassen. Die Domains können ja nicht verifiziert werden. Das von der eigenen Zertifizierungsstelle Zertifikate importiert werden können, ist natürlich möglich. Von außen bedeutet dies aber, dass das Root-CA hinterlegt sein muss, um keinen Fehler zu erhalten.

PeterPawn schrieb:
Da verstehe ich den Inhalt der Aussage (und die Quelle) nicht.
Fakt ist, daß die Box den privaten Schlüssel mit dem - bereits erwähnten - boxspezifischen Kennwort verschlüsselt und dann in /var/flash/websrv_ssl_key.pem speichert.

So kann man (mit ein paar Kniffen) den Schlüssel auslesen und auch decodieren, wenn man nur Zugriff auf die Kommandozeile einer Fritz!Box erhält und das ist - zumindest bei allen meinen Geräten - einfacher als viele glauben wollen. Aber wenigstens wird in Zukunft hoffentlich ein MITM-Angriff auf die Apps (wo man nur allzu leicht an Username und Password herankommen kann) schwerer, wenn AVM das mit den Zertifikaten konsequent bis zu den Apps durchzieht.

Da es im Moment aber noch zu leicht ist, in eine - auch fremde - Fritz!Box einzudringen, finde ich es persönlich eher eine schlechte Idee, wenn Du den privaten Schlüssel eines Zertifikats, das Du ja - wie Du geschrieben hast - auch für diverse andere Zwecke verwendest, der Fritz!Box "anvertraust". Solange es sich um ein eigens für die Box ausgestelltes Zertifikat handelt, ist das sicherlich zu verschmerzen, wenn man es als kompromittiert ansehen und entsorgen muß (wie so viele andere auch im Rahmen des Heartbleed-Bugs, selbst wenn der Fritz!OS nicht direkt betraf) bzw. wenn man diesem Zertifikat dann ein etwas geringeres Vertrauen entgegenbringt.
Zum Vergrößern anklicken....

Da gebe ich dir natürlich vollkommen Recht. Aber ich lege meine Hand auch nicht dafür ins Feuer, dass der IIS von Microsoft mit dem Exchange OWA sicher ist. Durch den Import in die Fritzbox eröffnet sich neben IIS einfach eine weitere Türe, welche es Hackern ermöglicht an die Daten heran zu kommen.

PeterPawn schrieb:
Auch wenn ich das unterschreiben kann, gehört für mich zu einer sinnvollen Umsetzung des Themas eine Sicherung/Wiederherstellung auch dieser Dateien durch AVM.
Zum Vergrößern anklicken....

Das wird ggf. noch kommen. Es ist ja erst nur ein Anfang gemacht. Und es sind noch Beta Versionen.

Gruß
Smithy
 
Smithy schrieb:
Mir ist es nicht gelungen Kontakt mit AVM aufzunehmen.
Zum Vergrößern anklicken....
Das tut mir zwar leid für Dich ... beruhigt mich aber auf der anderen Seite auch wieder. Dann liegt es ja vielleicht doch nicht nur an mangelnder Höflichkeit meinerseits, daß die Brieffreundschaft (per E-Mail) mit AVM eher einseitig verläuft. :mrgreen:
 
Hoffe ich konnte was Licht ins dunkle bringen :)

Eine frage bleibt. Ihr könnt anscheinend alle eure Boxen von intern per HTTPS erreichen? Das ging bei mir noch nie und geht nach wie vor nicht. Weder https://fritz.box noch https://fritz.nas oder https://IP sind bei mir erreichbar... :grübel: Muss man etwas einstellen in der Fritte, dass auch intern per HTTPS zugegriffen werden kann? Deshalb hatte ich mir eh weniger Gedanken über fritz.box fritz.nas & Co. im Zertifikat gemacht.
 
Aktiviere:
[x] Internetzugriff auf die FRITZ!Box über HTTPS aktiviert
(http:// fritz.box /internet/remote_https.lua)
Dann ist sie auch lokal via HTTPS erreichbar, nicht nur aus Internetrichtung.

Auch wenn die Fritz!Box nur als Repeater arbeitet, wie meine 7270v2.
Die hat dann allerdings keine Freigabe im Router und ist nur lokal via HTTPS erreichbar.
 
Zuletzt bearbeitet:
Smithy schrieb:
Muss man etwas einstellen in der Fritte, dass auch intern per HTTPS zugegriffen werden kann?
Zum Vergrößern anklicken....
Ich rate mal wild drauflos und sage, Du hast den externen HTTPS-Port "verbogen". Dann nimmt der ctlmgr auch intern nur auf diesem Port Verbindungen an (die Weiterleitung von extern erfolgt über eine Einstellung im kdsld) und Du solltest Dir der Einfachheit halber einen "Tunnel" von der LAN-IP an Port 443 auf die LAN-IP mit dem eingestellten Port legen, dann nervt die Eingabe einer Adresse nicht so sehr. Ohne Kommandozeile wirst Du dabei aber wahrscheinlich nicht auskommen ...
 
Danke - das war bereits bei mir aktiviert. Allerdings wird der abweichende Port auch lokal genutzt, sodass ich hätte https://IP:Port eingeben müssen. Manchmal sitzt der Fehler auch vorm Bildschirm :)
 
Ist jetzt der lokale HTTPS-WebIF-Zugriff auch ohne die Option "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" zum Standard geworden? Bei der aktuellen Release auf meiner 7390 gibt es das noch nicht.
 
Nö, soweit ich weiss. Ohne myfritz.net oder DynDNS Anbieter halt auf die öffentliche IP Nummer.
Man kann es aber soweit absichern, dass man eine "exotische" hohe Portnummer nimmt.
Die (Portnummer) muss auch lokal benutzt werden, weil sie auch intern gilt und nicht einfach nur auf 443 forwarded wird.
Das seh ich jetzt aber nicht unbedingt als Nachteil, eher als Sicherheitsgewinn.
 
Ich möchte noch eben ergänzen bzgl. der Zertifikate, dass auch ein Importvorgang einer PEM Datei, welche ein kennwortgeschützten privaten Schlüssel enthält bei Angabe des Kennwortes im Internetexplorer 11 einwandfrei funktioniert.

Aufgrund des Sicherheitshinweises von Peter habe ich eben ein kostenloses 12-Monats-SSL Zertifikat für die Fritzbox erzeugt nebst privatem Schlüssel. Ganz einfach und in wenigen Schritten bei StartSSL. (auch hier müssen dann keine eigenen CAs in die vertrauenswürdigen Speicher auf den Endgeräten geladen werden). Eine eigene Domaine mit ggf. Subdomaine und Weiterleitung auf die DYNDNS-Adresse oder feste IP der Fritz!Box ist nach wie vor Voraussetzung.

Erzeugte crt, intermediate pem, und private key in eine Datei als .pem zusammenfügen und mit dem bei StartSSL erzeugtem Kennwort in die Box laden - fertig.

EDIT: Es wird hier auch keine OpenSSL Installation, oder ein CRT benötigt. Also einfacher geht es nicht.

Gruß
Smithy
 
Zuletzt bearbeitet:
@Smithy
vielleicht ein bebildertes [HowTo] machen (und vom Mod-Team festpinnen lassen), da der eine oder andere User in Kürze diese Funktion umsetzen will, sobald es für seine Box zur Verfügung steht.
 
Den Vorgang kann ich nicht wiederholen. Nur 1x je Domain beantragbar. Leider fehlt mir für sowas auch im Moment die Zeit. Vielleicht kann der nächste der es probiert die Screenshots machen und man kann zusammen eine Anleitung basteln.

Außerdem muss ja eine Domain verfügbar sein, welche ein redirect kann. Bei allen 1und1 Standardverträgen geht es z.B. gar nicht. Nur bei Hostingprodukten. Erst mal sehen wie viele das sind und wie hoch das Interesse daran ist.
 
Geht das wirklich nur mit dem IE11? Ich hab hier nur nen FF 24.x ESR und IE8 :-( Grummel... Aber Danke für die Hinweise zum Aufbau der Datei. Muss man auf ein bestimmtes Format achten? UTF-8? Line Endings usw...?
 
Ich habe keinen Rechner mit einer älteren Version als IE11. Ggf. funktioniert auch eine ältere Version. Firefox, Opera & Chrome gehen bei mir jedenfalls nicht.
Ich habe die Datei mit dem 0815 Windoof Texteditor "Edit" zusammengeschustert. Scheint recht unempfindlich zu sein die Fritte in der Hinsicht ;)
 
Dann werd ich das heute Abend mal mit dem IE versuchen :) Hab den auf dem Rechner zu Hause noch nie benutzt. LOL.
 
bilbo_b schrieb:
Muss man auf ein bestimmtes Format achten? UTF-8? Line Endings usw...?
Zum Vergrößern anklicken....
PEM-Format ist - wie schon geschrieben - base64-kodiert, damit kein Zeichen > 127 und die Frage nach den Zeichensatz stellt sich somit eigentlich nicht. Der Editor darf aber keine BOM einfügen und sollte nur LF verwenden (auch wenn offenbar CRLF klaglos geschluckt wird).
 
bin gerade zurueck auf die original Software
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 768 (Mitglieder: 33, Gäste: 735)

Neueste Beiträge

Statistik des Forums

Themen
246,120
Beiträge
2,246,501
Mitglieder
373,617
Neuestes Mitglied
Florian_de
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück